Gündem

Visa Kart bilgileri 6 saniyede ele geçirilebiliyor

By

on

Dijital korsanlar ele geçirdikleri ‘eksik’ kredi kartı bilgilerini dağıtılmış tahmin yöntemi ile altı saniyeden kısa sürede bulabiliyorlar.

Suçlular son birkaç yıldır kredi kartı bilgilerini elde etmek için yaratıcı yollar buluyor. Saldırı yöntemleri genellikle sosyal mühendislik, deneme/yanılma yöntemi (brüte force) veya kötü amaçlı yazılım kullanarak bilgileri çalmaya dayanıyor. The Merkle’nin haberine göre Visa kart ağının karşılaştığı yeni bir saldırı şekli, rahatsız edici şekilde, tüm kart bilgilerinin altı saniye veya daha kısa sürede tahmin edilmesini sağlıyor.

Bu özel saldırı sayesinde suçlular yalnızca kart numarasını değil, aktif herhangi bir Visa kartının son kullanma tarihi ve CVV kodunu da ele geçirebiliyor. Bir araştırma makalesinde ayrıntılı olarak açıklanan bu yöntem “Dağıtık Tahmin Saldırısı – Distributed Guess Attack” adıyla tanımlanıyor. Bu yöntemin son olarak Tesco Bank hacklenmesinde kullanıldığı tahmin ediliyor ancak bu resmi olarak onaylanmış bir bilgi değil..

Saldırı nasıl gerçekleşiyor?

Çevrimiçi satış yapan siteler alışveriş sonunda tüketicinin kredi kartı ait kart numarası, son kullanma tarihi ve CVV bilgilerini talep ediyor. Bazı siteler adres gibi daha fazla ayrıntı da talep edebiliyor.

Eğer kart bilgileri doğru değilse işlem reddediliyor ve bir saldırganın aynı kart için arka arkaya birden çok geçersiz ödeme isteği talep edebilir. Düşünülenin aksine bu işlem bir den fazla site üzerinden gerçekleşiyorsa genellikle fark edilmesi düşünüldüğü kadar kolay olmuyor ve saldırganlar neredeyse sınırsız sayıda son kullanma tarihi ve CVC kombinasyonu deneyebiliyor.

Bu iki faktörü birleştiren saldırganlar sadece bir kart numarasını bile ele geçirmiş olsalar farklı kombinasyonları otomatik olarak üretip pek çok e-ticaret sitesi üzerinden doğrulayan çeşitli yazılımları çoktan geliştirmiş durumdalar. Bu şekilde bir kartın tüm bilgilerini ele geçirmek sadece 6 saniye kadar zaman alıyor.

İlginçtir ki bu saldırı yöntemi Visa kartlarını etkilerken MasterCard bu saldırıdan etkilenmiyor. Aslında MasterCard bu tür düzensiz davranışları saptamak için özel olarak tasarlanmış bir kontrol mekanizmasın sahip. Visa’nın baskın pazar konumuna rağmen böyle bir özelliği olmadığının ortaya çıkması oldukça garip.

Çok büyük ihtimalle Visa en kısa süre içinde bu saldırıya karşı gereken geliştirmeleri sağlayacaktır.

About PCWorld

Recommended for you

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir